Negli ultimi tempi, gli attacchi ClickFix stanno emergendo come una delle principali minacce alla sicurezza informatica, sfruttando l’interazione dell’utente con script dannosi all’interno del browser. Questi attacchi, noti anche come FileFix o come falsi CAPTCHA, inducono l’utente a risolvere un problema apparente, come completare un CAPTCHA o correggere un errore su una pagina web. Tuttavia, il vero obiettivo è ingannare l’utente affinché copi e incolli codice dannoso dal browser sul proprio dispositivo, eseguendo così comandi malevoli localmente.

A rendere ClickFix particolarmente insidioso è la capacità degli attaccanti di far apparire le pagine malevole estremamente simili a quelle legittime. Gruppi come Interlock e vari attori APT sfruttano regolarmente queste tecniche, che sono state collegate a recenti data breach in organizzazioni come Kettering Health, DaVita e altre. L’efficacia di questi attacchi deriva da tre fattori principali.

1. Mancanza di preparazione degli utenti

Negli anni, la formazione sulla sicurezza informatica si è focalizzata su phishing via email e download di allegati sospetti, non sull’esecuzione di comandi copiati manualmente. Inoltre, spesso la copia negli appunti avviene in automatico tramite JavaScript, abbassando ulteriormente la soglia di attenzione. Con l’aspetto sempre più credibile dei siti di ClickFix, è facile che anche utenti prudenti cadano nella trappola.

2. Limiti delle soluzioni di sicurezza tradizionali

Le soluzioni di sicurezza tradizionali faticano a rilevare questi attacchi. I siti ClickFix utilizzano tecniche avanzate di evasione come la rotazione dei domini, la protezione bot e l’offuscamento del contenuto per eludere i controlli automatici. L’uso di vettori diversi dall’email, come SEO poisoning e malvertising su Google Search, taglia fuori un intero livello di difesa. Grazie alla personalizzazione degli annunci, gli attaccanti possono colpire in modo mirato, evitando rilevamenti da parte dei sistemi di sicurezza aziendali.

3. Debolezza delle difese lato endpoint

Gli strumenti EDR rappresentano spesso l’ultima barriera, ma non sono infallibili: l’azione viene eseguita dall’utente e non è collegata a un’applicazione sospetta, rendendo difficile il riconoscimento automatico. Se il codice dannoso è offuscato o suddiviso in più fasi, l’EDR potrebbe non bloccarlo immediatamente. In più, la presenza di dispositivi BYOD non gestiti apre ulteriori falle nella protezione.

Per contrastare ClickFix, soluzioni innovative come la rilevazione e il blocco del copia-incolla malevolo direttamente nel browser stanno diventando fondamentali. Questi sistemi agiscono a prescindere dal vettore di attacco, proteggendo gli utenti senza compromettere la produttività.